26/04/2018 |

Ricercatori F-Secure: le chiavi master degli hotel possono essere create “dal nulla”

I ricercatori di F-Secure hanno scoperto che le chiavi delle camere di catene alberghiere globali e di hotel nel mondo possono essere hackerate per ottenere accesso a qualsiasi stanza nell’edificio

I ricercatori di F-Secure hanno scoperto che le catene alberghiere globali e hotel nel mondo stanno usando un sistema elettronico di chiusura che potrebbe essere sfruttato da un attaccante per ottenere accesso a qualsiasi stanza nell’edificio. La falla di progettazione scoperta nel software del sistema di chiusura, noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con security fix per mitigare la problematica.

L’attacco dei ricercatori si basa sull’utilizzo di qualsiasi chiave elettronica ordinaria di un hotel – anche una che è scaduta, scartata, o usata per accedere a spazi come il garage o il deposito. Usando le informazioni presenti sulla chiave, i ricercatori sono in grado di creare una chiave master con privilegi per aprire qualsiasi stanza nell’edificio. L’attacco può essere sferrato senza essere notati.

Potete immaginare cosa potrebbe fare una persona malintenzionata con il potere di entrare in qualsiasi stanza di un hotel, con una chiave master creata fondamentalmente dal nulla,” ha dichiarato Tomi Tuominen, Practice Leader in F-Secure Cyber Security Services. “Fino ad ora comunque non si ha evidenza che qualcun altro abbia tentato di sferrare questo particolare tipo di attacco.”

L’interesse dei ricercatori di F-Secure nell’attaccare i sistemi di chisura di un hotel è nato una decina di anni fa quando a un collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando i ricercatori hanno denunciato il furto, lo staff dell’hotel non ha preso in considerazione la loro segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto di prendere di mira un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Non si trattava di buchi evidenti di sicurezza. E’ servita un’analisi approfondita della progettazione dell’intero sistema per identificare piccole falle che, una volta combinate, hanno prodotto l’attacco. La ricerca ha richiesto diverse migliaia di ore nel corso degli anni ed è stata condotta su base continua, con un numero considerevole di prove ed errori.

Volevamo scoprire se sia possibile bypassare il sistema di chiusura elettronica senza lasciare tracce,” ha spiegato Timo Hirvonen, Senior Security Consultant di F-Secure. “Costruire un sistema di controllo accessi sicuro è molto difficile perché ci sono così tante cose che devi fare bene. Solo dopo che abbiamo capito completamente come era stato progettato il sistema, siamo stati in grado di identificare difetti apparentemente innocui. Abbiamo combinato in modo creativo questi difetti per arrivare a creare un metodo per realizzare chiavi master.”

F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura nel corso dell’ultimo anno per implementare i fix al software. Aggiornamenti sono stati resi disponibili alle realtà interessate.

Vorrei ringraziare personalmente il team di R&D di Assa Abloy per la loro eccellente collaborazione nel rettificare queste problematiche,” ha dichiarato Tuominen.Grazie alla loro diligenza e alla ferma volontà di voler risolvere i problemi identificati dalla nostra ricerca, il mondo dell’hospitality è ora un posto più sicuro. Invitiamo qualsiasi struttura che stia usando questo software ad applicare l’aggiornamento prima possibile.”

Nota: nessuna camera d’albergo è stata violata durante questa ricerca. Gli strumenti non saranno resi disponibili.

 

Per maggiori informazioni:

Electronic Lock Systems are Vulnerable

Researchers Find Way to Generate Master Keys to Hotels

 

F-Secure

Nessuno conosce la cyber security come F-Secure. Per tre decenni, F-Secure ha guidato l’innovazione nella cyber security, difendendo decine di migliaia di aziende e milioni di persone. Con un’esperienza insuperabile nella protezione degli endpoint, così come nella rilevazione e risposta, F-Secure difende aziende e utenti da attacchi informatici avanzati, violazioni di dati e dalle diffuse infezioni ransomware. La sofisticata tecnologia di F-Secure combina la forza del machine learning con l’esperienza umana degli esperti presenti nei suoi rinomati laboratori di sicurezza con un approccio singolare chiamato Live Security. Gli esperti di sicurezza di F-Secure hanno preso parte a più investigazioni sul crimine informatico in Europa di qualsiasi altra azienda sul mercato, e i suoi prodotti sono venduti in tutto il mondo attraverso oltre 200 operatori di banda larga e telefonia mobile e migliaia di rivenditori.

Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.

f-secure.it |f-secure.com| twitter.com/fsecure | facebook.com/f-secure

Seguici anche sul blog italiano Safe&Savvy: it.safeandsavvy.f-secure.com

e sull’account Twitter italiano: @F-Secure_IT

 

Contatti per la stampa:

Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759

Gli ultimi comunicati stampa

04/10/2018

F-Secure e Zyxel insieme per offrire WiFi sicuro nelle case connesse

F-Secure Connected Home Security sarà integrato nei gateway Zyxel destinati all’utenza domestica

20/09/2018

F-Secure TOTAL include nuove funzionalità per proteggere te, i tuoi dispositivi e la tua casa

La nuova offerta di cyber security di F-Secure per il mondo consumer combina la protezione per la casa connessa e la gestione delle password con la sicurezza Internet e una VPN

13/09/2018

Un punto debole scoperto nel firmware dei moderni notebook mette a rischio le chiavi di crittografia

Gli esperti sostengono che le attuali misure di sicurezza non siano sufficienti per proteggere i dati sui notebook che vengono persi o rubati

31/07/2018

40 anni dopo, lo spam è ancora il mezzo più usato dai criminali online

Una nuova ricerca di F-Secure e MWR Infosecurity evidenzia che lo spam è la fonte malware numero uno poiché ai criminali basta aggiungere pochi nuovi trucchi a questo classico metodo di attacco

%d bloggers like this: